数ヶ月前にパッチが適用されたGhost コンテンツ管理システム(CMS)の脆弱性が、大手企業を含む数百のウェブサイトをハッキングするために悪用されていることが、中国のサイバーセキュリティ企業Qianxinの報告で明らかになりました。
悪用された脆弱性はCVE-2026-26980として追跡されており、その存在は2月にパッチが適用されたときに明らかになりました。
Ghostは、ブログ、ニュースレター、パブリッシングのために特別に設計された広く使用されているオープンソースのCMSであり、メンバーシップ、サブスクリプション、オーディエンス収益化のための組み込みツールを提供しています。開発者によると、Ghostは10万以上のウェブサイトで積極的に使用されています。
CVE-2026-26980が公開された際、SentinelOneは、この脆弱性(SQLインジェクション欠陥)が認証されていない攻撃者によってGhostデータベースから機密データを抽出するために悪用される可能性があることを警告しました。セキュリティ企業は、攻撃者が認証トークン、ユーザー認証情報、ウェブサイトのコンテンツを取得できることを指摘しました。
Qianxinは先週、CVE-2026-26980がパッチが適用されていないGhostインスタンスに対する大規模攻撃で悪用されていることを報告しました。
脅威のアクターはこの欠陥を利用してターゲットサイトの管理者APIキーを取得し、その後APIを使用してGhostで駆動されるサイトに投稿された記事を改ざんしました。具体的には、攻撃者はClickFix攻撃向けに設計された悪意のあるJavaScriptローダーを注入しました。
攻撃で使用されたDLLファイルのコンパイルタイムスタンプは2月16日であり、CVE-2026-26980のパッチが発表された日です。Qianxinは5月初旬に侵害されたウェブサイトを目撃し始めました。
セキュリティ企業は、DuckDuckGo、ハーバード大学、オックスフォード大学などの大手企業を含む700以上のウェブサイトがこのキャンペーンで侵害されたことを特定しました。
分析によると、ハッキングされたウェブサイトのほぼ半分は個人ブログと独立したサイトですが、数十個はソフトウェア開発とテックブログ、AI、暗号通貨、およびその他様々なタイプのエンティティに属しています。
Qianxinは多くの被害者に警告しましたが、大多数が通知に応じなかったと述べました。
「現在、少なくとも2つのグループがそのようなポイズニング操作を積極的に行っており、一部のサイトは2つの当事者間の競争の的になり、異なる悪意のあるコードが1日以内に次々と埋め込まれています」とQianxinは述べました。
翻訳元: https://www.securityweek.com/ghost-cms-vulnerability-exploited-to-hack-over-700-websites/
